資訊安全 在家工作 異地上班 新冠肺炎 DNS

惡意程式遂行遙控必經 DNS層防禦捍衛遠距工作

防疫時期駭侵不消停 落實DNS快篩保網路平安

2020-06-18
全球疫情持續蔓延,至今仍無止歇跡象,在家工作似乎已成為不得不然的進行式。本文將偕同安全專業人員一起探討有那些簡單的措施可減少惡意軟體侵擾,簡化安全性,確保異地上班者資訊安全無虞。

 

全球疫情持續擴張及傳播,員工比以往任何時候都需要在家工作,現在應該尋找新方法來增強資訊安全,而且不會花費過多或讓員工負擔過重。本文將探討資安人員到底可以採取那些簡單措施來減少惡意軟體,以簡化安全性並保護越來越多的異地及在家工作者。

新威脅 V.S 新防禦

隨著網路的變化,攻擊方法也隨之變化。攻擊者加速攻擊基礎架構的速度和適應性,對安全管理偵測攻擊帶來了新挑戰。這些挑戰包括:

‧欺騙性的電子郵件造假技術,讓攻擊者可以繞過常規防禦措施,並且安裝勒索軟體和惡意軟體。

‧使用特徵碼式的惡意軟體解決方案,無論這些特徵碼和配置文件的更新速度為何,都無法立即偵測及防堵殭屍網路或惡意軟體網站。

‧暗渡陳倉或木馬屠城式的攻擊(Low and Slow Attack),逃避基礎網路的防禦,讓攻擊者能夠滲透到基礎架構中,並且在較長的時間內獲取未檢測到的流量。

‧惡意軟體工具包和惡意軟體即服務的資源,透過授權不良行為者和犯罪組織參與網路攻擊,從而增加攻擊威脅量,儘管缺乏技術技能,但惡意加密工具已經是人人可利用。

監視DNS請求 確保員工工作安全

因為91%的惡意軟體使用DNS獲得C2(Command and Control)的控制,洩漏資料或重定向Web流量。但是,當Internet請求透過遞歸DNS服務解決後,它們便成為檢查和阻止惡意或不適當的網址(域)和IP的理想場所,而不偵測DNS是否存在破壞跡象的安全團隊將缺少重要的機會。DNS是組織內最有價值的數據源之一,應該定期挖掘並針對威脅情報進行交叉引用,以幫助安全團隊獲得更好的準確性和對受感染系統的檢測,並提高可見性和網路保護。IT安全主管應將主動DNS層安全性作為其安全策略的核心組成部分,對於在家工作的員工來說,這是抵禦威脅出色的第一道防線。

大多數公司將DNS解析交給ISP。但是,隨著越來越多的組織採用直接Internet連接並且讓使用者繞過VPN,這將導致DNS盲點。DNS請求先於IP連接,這使DNS解析器可以記錄請求的網址(域),而不考慮連接的通訊協定或通訊埠口。監視DNS請求(as well as subsequent IP connections)是提供更好的準確性和檢測受感染系統的簡便方法,從而提高了安全性可見性和網路保護。

DNS層安全性不可或缺

在不增加其安全操作的複雜性之下,IT安全主管正在尋找更有效的安全策略。而DNS層安全性可以阻止C2的滲透,惡意加密、勒索軟體和其他攻擊,無須事先識別特定的負擔這些攻擊的性質。惡意網址(域)必須被阻止,因為它們可以快速、準確地識別為惡意網址(域)。

除此之外,DNS層安全性還必須提供:

‧惡意主機的預測性識別。透過匯總和分析與DNS相關的資料,包括每日數百億個DNS請求,WHOIS記錄和邊界閘道協定路由(Border Gateway Protocol Routing)資訊,便能夠利用準確性非常高的識別率以來源阻擋。

‧雲端服務阻止DNS請求行為。DNS安全雲端服務提供商可以更新可疑網址(域)的黑名單,搶先阻止對可能構成的任何網址(域)或IP請求的威脅。

作為Internet的保護傘,Cisco Umbrella透過加強DNS和IP層的安全性,阻止對惡意軟體、勒索軟體、網路釣魚和殭屍網路的請求,甚至可以建立連接-阻止任何通訊埠或通訊埠上的威脅協定到達公司的網路或端點之前。同時也阻止C2之間的直接IP連接控制漫遊使用者的Callbacks。透過控制台和按需擴展API,可提供上下文以對DNS事件進行優先級排序並加快事件應變速度,以便更快地檢測和補救威脅。根據AV-TEST測試公司威脅功效測試,DNS層保護的檢測率高達51%。此外,選擇性代理(Proxy)在有效威脅檢測方面有很大的不同,並將阻止率提高到72%。

此外,由於處理來自全球190個國家∕地區的1億多使用者的2,000億次Internet DNS請求,因此擁有絕佳的DNS活動可視性,其開發高度專業的模型可阻止700萬個惡意軟體在任何時間的Internet目的地請求,並在其他任何時間之前檢測到非法連接。高彈性雲端基礎架構可以百分百地正常運行,藉由使用Anycast路由,全球三十多個資料中心中的任何一個都可以使用相同的IP地址,而且實現自動化故障轉移。此外,使用者亦可以透過與Cisco SD-WAN架構、Cisco Meraki MR和Cisco ISR路由器、Cisco Stealthwatch和Cisco Advanced Malware Prevention整合,從一個儀表板中管理所有的安全策略和實施。

總部、分支機構和家庭辦公室之安全控制

結合Cisco Talos(商業威脅情報團隊)對威脅的分析力,以及蒐集全球Internet活動量,Umbrella發現並阻止各種惡意網址(域)、IP、URL和用於攻擊的文件,而且也透過統計資料和機器學習模型來識別正在上演的新攻擊。這些獨特的屬性能夠讓在各類型企業在網路內外提供更有效的安全保護以及可視性。

簡化在家工作的員工的安全性,無論是在家中、辦公室,還是行動辦公路,Umbrella是保護所有員工的最快及最簡便的方法。沒有需要安裝的硬體,也不需要手動更新的軟體,持續地管理非常簡單。

只須將DNS重定向即可,然後,利用現有的Cisco各項基礎設備Cisco AnyConnect、Cisco路由器(ISR 1K和4K系列)、Cisco無線LAN控制器和Meraki MR/MX,只需數分鐘內便能配置數千個網路設備和可攜式電腦設備。

<本文作者:游証硯現為思科台灣首席資安顧問。>

 


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!